ll Garante per la protezione dei dati personali Polacco ha sanzionato per 11 mila euro l’Università di Scienze della Vita di Varsavia per non aver adottato adeguate misure tecniche ed organizzative a protezione dei dati personali degli studenti dell’ateneo.
La vicenda nasce da un furto subito da uno dei dipendenti dell’Università che – in regime di smart working – utilizzava il proprio laptop personale per assolvere alle proprie mansioni lavorative. All’interno del device oggetto del furto, erano contenuti ben 80.000 dati personali degli studenti dell’Università.
L’Università si è difesa sia presso l’autorità regolatrice sia dinanzi al tribunale amministrativo in sede di ricorso, sostenendo come il dipendente avesse non rispettato le policy aziendali sull’utilizzo di device personali e che pertanto lo stesso dipendente dovesse essere ritenuto pienamente responsabile delle sue azioni anche in campo di protezione dei dati personali. L’Università ha altresì evidenziato come il dipendente dovesse essere inquadrato quale titolare autonomo del trattamento, seppur avesse posto in essere operazioni di trattamento nei confronti dei dati personali degli studenti dell’Università.
Ciononostante, le autorità polacche hanno sostenuto come l’Università, in qualità di titolare del trattamento, avesse dovuto vigilare sull’operato del proprio dipendente, ovvero avrebbe dovuto implementare misure di sicurezza maggiormente idonee a prevenire l’utilizzo di device personali nello svolgimento delle attività oggetto di trattamento.
La vicenda in esame permette di analizzare tematiche relative alla protezione dei dati personali che possono essere ricondotte al nostro paese, soprattutto in questo periodo storico in cui il personale dipendente svolge le proprie attività in un regime di smart-working.
Infatti, il mero utilizzo di strumenti informatici non aziendali o di proprietà del dipendente, non implica necessariamente uno sgravio nei confronti del datore di lavoro in relazione alla sua titolarità sui dati oggetto di trattamento. Infatti, il titolare del trattamento – ovvero il datore di lavoro – oltre a prevedere policy aziendali che impediscano l’utilizzo di device personali deve inoltre effettivamente applicare tali policy attraverso controlli che, seppur non debbano essere invasivi della privacy del lavoratore, impediscano in maniera efficace il trattamento di dati personali attraverso strumenti non idonei.
D’altra parte la possibilità di utilizzare strumenti personali per scopi lavorativi ben potrebbe essere ammessa all’interno di un’organizzazione attraverso specifiche policy. Anche in tal caso però si rende necessario– in maniera ancor più incisiva rispetto al precedente caso – implementare misure di sicurezza che permettano di creare un ambiente consono e sicuro al trattamento di dati personali di un’organizzazione, quali ad esempio l’utilizzo di Vpn, sistemi di Data loss prevention e sistemi di BYOD.